Hala PID'si varsa sonlandırılmış Windows işlemini nasıl belirleyebilirim?


14

Arka plan: Çalışmamın ortasında "Microsoft Fare ve Klavye Merkezi" ni yüklemek için lisans sözleşmesi aniden ortaya çıktı. Hangi işlemin kurulumu başlattığını anlamak istiyorum, ancak Process Explorer'ı kullanarak bunun gittiğini gördüm, sadece PID'sini bulabildim (ekran görüntüsüne bakın).

Soru:

İşlem Gezgini kullanıyorsanız , işlemin üst işleminin artık var olmadığı durumu biliyor olabilirsiniz ve yalnızca PID'sini görebilirsiniz:

resim açıklamasını buraya girin

Verilen PID altında hangi işlemin çalıştığını öğrenebilmem için PID'nin çalışan işlemle ilişkilendirilmesini içeren bazı Windows günlükleri var mı?

Tercihen, bunu beklemediğim senaryolarla ilgileniyorum, bu yüzden sistemdeki olayları yakalamak için Process Monitor'u kullanmadım .

Yanıtlar:


11

Çalışan işlemle PID ilişkilendirmesini içeren bazı Windows günlükleri var mı

Varsayılan olarak böyle bir günlük yoktur. Ancak, İşlem İzleme Olaylarını Windows Güvenlik Olay Günlüğü'nde etkinleştirebilirsiniz.

Notlar:


Windows Güvenlik Günlüğünde İşlem İzleme Olayları Nasıl Kullanılır

Windows 2003 / XP'de bu olayları yalnızca İşlem İzleme denetim ilkesini etkinleştirerek alırsınız.

Windows 7/2008 + 'da, Grup İlkesi nesnelerinde Gelişmiş Denetim İlkesi Yapılandırması altında bulacağınız Denetim Süreci Oluşturma ve isteğe bağlı olarak Denetim Süreci Sonlandırma alt kategorilerini etkinleştirmeniz gerekir.

Bu olaylar inanılmaz derecede değerlidir, çünkü sistemdeki herhangi bir yürütülebilir dosya bir işlem olarak başlatıldığında kapsamlı bir denetim izi sağlarlar. Her iki olayda bulunan İşlem Kimliğini kullanarak işlem oluşturma olayını işlem sonlandırma olayına bağlayarak sürecin ne kadar sürdüğünü bile belirleyebilirsiniz. Her iki olaya ilişkin örnekler aşağıda gösterilmiştir.

resim açıklamasını buraya girin

Kaynak Windows Güvenlik Günlüğünde İşlem İzleme Olaylarını Kullanma


Denetim Süreci Oluşturma nasıl etkinleştirilir

  1. Gpedit.msc dosyasını çalıştırın

  2. "Windows Ayarları"> "Güvenlik Ayarları"> "Yerel İlkeler"> "Denetim İlkesi" ni seçin

    resim açıklamasını buraya girin

  3. "Denetim takibi" ni sağ tıklayın ve "Özellikler" i seçin

  4. "Başarılı" seçeneğini işaretleyin ve "Tamam" ı tıklayın

    resim açıklamasını buraya girin


Denetim Süreci Takibi nedir

Bu güvenlik ayarı, işletim sisteminin süreç oluşturma, işlem sonlandırma, tanıtıcı çoğaltma ve dolaylı nesne erişimi gibi süreçle ilgili olayları denetleyip denetlemediğini belirler.

Bu ilke ayarı tanımlanmışsa, yönetici yalnızca başarıların, yalnızca başarısızlıkların, hem başarıların hem de başarısızlıkların denetlenip denetlenmeyeceğini ya da bu olayların hiç denetlenmeyeceğini (örneğin, ne başarılar ne de başarısızlıklar) belirleyebilir.

Başarı denetimi etkinleştirilirse, işletim sistemi bu işlemle ilgili etkinliklerden birini her gerçekleştirdiğinde bir denetim girişi oluşturulur.

Hata denetimi etkinse, işletim sistemi bu etkinliklerden birini gerçekleştiremediğinde bir denetim girişi oluşturulur.

Varsayılan: Denetim yok

Önemli: Denetim ilkeleri üzerinde daha fazla denetim için, Gelişmiş Denetim İlkesi Yapılandırma düğümündeki ayarları kullanın. Gelişmiş Denetim İlkesi Yapılandırması hakkında daha fazla bilgi için, bkz. Http://go.microsoft.com/fwlink/?LinkId=140969 .


Dave, belki de "batıda en hızlı silah" yaklaşımını kullanabilirsin . Uzun ve ayrıntılı cevabınızı yazarken, diğer cevapta (daha sonra eklediğinizle aynı) adımlar attım ve kabul etmek üzereydim. Şimdi kabul etmek için bir ikilem var ... :)
miroxlav

1
İlk cevaptan daha iyi cevaba sahip olmayı tercih ederim;) Aynı şeylerse, o zaman bir bonus. Cevabımı hazırladığımı (şimdi temizlenmiş bir yorumda) bilgilendirdim. Ve cep telefonumla yavaş bir internet bağlantısı kullanıyorum: /
DavidPostill

Oh evet, yaptın. OTOH, belki de "yerel politikalarda denetim günlüğünü etkinleştirebilirsiniz" yazmaktan çekinmeyin, eğitim değeri ile cevap oluşturup devam edin. Bazen küçük ipucu bile harika bir cevap için 60 dakika beklemekten daha iyi yardımcı olabilir (OP) :) Yani, yerel politikaların nerede olduğunu biliyorum, sadece küçük bir ipucuna ihtiyacım vardı.
miroxlav

@DavidPostill: Bu günlüklerin ne sıklıkta temizlendiğini (veya ne sıklıkta manuel olarak temizlenmesi gerektiğini) anlatabilirseniz iyi olur, çünkü oldukça uzun
sürebilirler

1
@Mehrdad Olay günlükleri gerekirse komut satırından silinebilir wevtutil. Olay Görüntüleyicisi GUI'sini kullanmaktan daha kolaydır.
DavidPostill

3

Görmenin tek yolu, süreçlerin oluşturulmasını izlemek için denetimin etkinleştirilmiş olmasıdır.

"Yerel Güvenlik İlkesi" programından ( secpol.mscbulmakta sorun yaşıyorsanız çalışma ekranından yazın) "Güvenlik Ayarları -> Yerel Politikalar -> Denetim İlkesi" ne gidin ve "Başarı" için "Denetim işlemi izlemeyi" etkinleştirin.

resim açıklamasını buraya girin

Bunu yaptıktan sonra olay görüntüleyiciye gidin ve "Güvenlik" olay günlüğünü kontrol edin, orada her işlem başlatıldığında veya bittiğinde "Denetim Başarısı" girişlerini göreceksiniz.

Bir işlemden çıkıldı.

Konu:
    Güvenlik Kimliği: SYSTEM
    Hesap Adı: SCOTT-PC $
    Hesap Alan Adı: WORKGROUP
    Oturum Açma Kimliği: 0x3E7

İşlem bilgisi:
    İşlem Kimliği: 0x1338
    İşlem Adı: C: ​​\ Windows \ System32 \ consent.exe
    Çıkış Durumu: 0x0

Aradığınız İşlem Kimliğini ondalık sayıdan onaltılık biçime dönüştürmeniz gerekir (3336, 0xD08 olur). Dönüştürmenin en kolay yolu açık pencereli hesap makinesidir, "Programcı" moduna gidin, numarayı "dec" moduna girin, sonra "hex" moduna tıklayın. Görüntülenen sayı sizin için onaltılık sayıya dönüştürülecektir.


Evet, bu beklediğim bir cevap. Basitçe söylemek gerekirse: bazı günlükleri etkinleştirin ve böylece sonuçlarını kontrol edin.
miroxlav

0

Bu bir seferlik bir şeyse ve işlemlerinizi her zaman günlüğe kaydetmek istemiyorsanız, Microsoft Process Monitor'ü kullanmanızı öneririm ( https://technet.microsoft.com/en-us/Library/bb896645.aspx ). Popüler yumurtlamadan önce çalıştırılması gerekiyor, ancak ebeveyn süreci öldükten sonra bile aradığınız tüm bilgileri yakalamış olacak.

Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.